El investigador de seguridad Rajat Raghav descubrió tres vulnerabilidades críticas en el framework de código abierto Pingora que podrían permitir a los atacantes secuestrar sesiones de usuario y envenenar cachés web. Las fallas, divulgadas en marzo de 2026, afectan a todas las implementaciones de Pingora alojadas por el usuario anteriores a la versión 0.8.0 cuando se usan como proxies expuestos a Internet. Pingora ha lanzado la versión 0.8.0 para corregir las vulnerabilidades, mientras que Cloudflare confirmó que sus servicios de CDN no se vieron afectados.
Las vulnerabilidades, designadas como CVE-2026-2833, CVE-2026-2835 y CVE-2026-2836, exponen a las organizaciones que utilizan implementaciones de Pingora alojadas en infraestructura propia a graves riesgos de seguridad, incluyendo evadir controles de seguridad, robo de credenciales y envenenamiento de cachés web, según una publicación del blog de Cloudflare.
La falla más crítica se basa en cómo Pingora gestiona las solicitudes de actualización HTTP. Al recibir solicitudes con un encabezado Upgrade, el framework cambiaba prematuramente al modo passthrough antes de que el servidor backend aceptara el cambio de protocolo. Esto permitía a los atacantes inyectar solicitudes maliciosas que evadían por completo los controles de seguridad de Pingora.
Una segunda vulnerabilidad derivó de un procesamiento incorrecto de solicitudes HTTP/1.0 que incluían encabezados Transfer-Encoding, los cuales están prohibidos en los estándares RFC. En lugar de rechazar dichas peticiones, Pingora interpretaba mal la longitud de la solicitud, generando una discrepancia con servidores backend compatibles que podía ser aprovechada para ataques de smuggling de solicitudes.
El tercer problema afectó la función de caché en fase alfa de Pingora, donde las claves de caché se generaban usando únicamente la ruta URI sin considerar el encabezado Host ni el esquema HTTP. Esto implicaba que un atacante podía envenenar la caché para un dominio y hacer que ese contenido malicioso se entregara a usuarios que visitaban un sitio completamente diferente.
Infraestructura de Cloudflare Protegida
Cloudflare confirmó que sus servicios de CDN en producción jamás fueron vulnerables gracias a su arquitectura de defensa en profundidad. La empresa explicó que Pingora no se utiliza como el proxy principal expuesto a Internet en su CDN, y los proxies previos normalizan el tráfico antes de que llegue a las instancias internas de Pingora. Además, Cloudflare siempre ha empleado claves de caché robustas y multifactoriales en lugar de la insegura implementación predeterminada.
Las vulnerabilidades han sido totalmente resueltas en Pingora versión 0.8.0. La actualización corrige la lógica de Upgrade para cambiar de modo solo tras recibir la debida confirmación de los servidores de origen, refuerza el analizador HTTP para rechazar solicitudes no válidas y elimina por completo la implementación predeterminada de claves de caché inseguras.
Las organizaciones que ejecutan implementaciones de Pingora alojadas en infraestructura propia deben actualizar de inmediato a la versión 0.8.0 o posterior. Al implementar un proxy caché, los administradores deben garantizar que las claves de caché identifiquen de manera exhaustiva los recursos basándose en todos los parámetros relevantes, incluyendo el esquema, host, ruta y cabeceras variables.
Sources
- https://blog.cloudflare.com
